Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Windows」や「WebLogic」など脆弱性5件の悪用に注意

米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、悪用が確認されている5件の脆弱性について注意を喚起した。

現地時間9月18日に「悪用が確認された脆弱性カタログ(KEV)」へあらたに5件の脆弱性を追加したもの。米行政機関へ脆弱性の対応を促すとともに、広く注意を呼びかけている。

CVE-2024-27348」は、分散型グラフデータベース「Apache HugeGraph」においてリモートよりコードの実行が可能となる脆弱性。4月に明らかとなり、その後詳細や実証コードが公開されていた。脆弱性を悪用するアクセスの増加も観測されている

また2019年6月の月例パッチで修正された「Windowsタスクスケジューラ」の権限昇格の脆弱性「CVE-2019-1069」や、2020年2月に修正された「Microsoft SQL Server」のRCE脆弱性「CVE-2020-0618」を登録。

さらに「Oracle WebLogic Server」に明らかとなった「CVE-2020-14644」や「JDeveloper」に判明した「CVE-2022-21445」についても悪用されているとして、注意を促した。

同庁では、同月16日、17日、18日と3日連続で脆弱性を同リストへ追加しており、9月に入ってからすでに22件を登録している。9月以降に「悪用が確認された脆弱性カタログ(KEV)」へ登録された脆弱性は以下のとおり。

CVE-2024-7262:Kingsoft WPS Office(2024/09/03)
CVE-2021-20124:DrayTek VigorConnect(2024/09/03)
CVE-2021-20123:DrayTek VigorConnect(2024/09/03)
CVE-2024-40766:SonicWall SonicOS(2024/09/09)
CVE-2017-1000253:Linux Kernel(2024/09/09)
CVE-2016-3714:ImageMagick ImageMagick(2024/09/09)
CVE-2024-38217:Microsoft Windows(2024/09/10)
CVE-2024-38014:Microsoft Windows(2024/09/10)
CVE-2024-43491:Microsoft Windows(2024/09/10)
CVE-2024-38226:Microsoft Publisher(2024/09/10)
CVE-2024-8190:Ivanti Cloud Services Appliance(2024/09/13)
CVE-2024-6670:Progress WhatsUp Gold(2024/09/16)
CVE-2024-43461:Microsoft Windows(2024/09/16)
CVE-2014-0502:Adobe Flash Player(2024/09/17)
CVE-2013-0648:Adobe Flash Player(2024/09/17)
CVE-2013-0643:Adobe Flash Player(2024/09/17)
CVE-2014-0497:Adobe Flash Player(2024/09/17)
CVE-2020-14644:Oracle WebLogic Server(2024/09/18)
CVE-2022-21445:Oracle JDeveloper(2024/09/18)
CVE-2019-1069:Microsoft Windows(2024/09/18)
CVE-2020-0618:Microsoft SQL Server(2024/09/18)
CVE-2024-27348:Apache HugeGraph-Server(2024/09/18)

(Security NEXT - 2024/09/19 ) このエントリーをはてなブックマークに追加

PR

関連記事

IoT製品のセキュ評価制度「JC-STAR」 - 4レベルで認証、取消もあり
「NVIDIA Triton Inference Server」に脆弱性 - アップデートを提供
SplunkのAWS向けのアドオンに複数脆弱性 - アップデートで修正
サーバがランサム被害、一部業務に遅延 - ベル・データ
決済アプリ改ざん、顧客情報9万件が流出か - タリーズ通販サイト
タリーズの通販サイトにサイバー攻撃 - 情報流出など影響を調査
米当局、「Zimbra」狙う攻撃に注意喚起 - メール「CC」に不正コード
ウェブ狙う攻撃の痕跡を検出するログ解析サービス - ビットフォレスト
個人情報含むタブレット端末が車両ごと盗難 - 稲敷市
別人の児童扶養手当証書を誤送付 - 延岡市